网络安全设备及部署

什么是等保定级?
之前了解了下等保定级,接下里做更加深入的探讨

文章目录

  • 一、网路安全大事件
      • 1.1 震网病毒
      • 1.2 海康威视弱口令
      • 1.3 物联网Mirai病毒
      • 1.4 专网 黑天安 事件
      • 1.5 乌克兰停电
      • 1.6 委内瑞拉电网
      • 1.7 棱镜门事件
      • 1.8 熊猫烧香
  • 二、法律法规解读
  • 三、安全厂商介绍
  • 四、安全产品
    • 4.1 防护墙
      • 4.1.1 经典防护墙
        • VPN
      • 4.1.2 NGFW下一代防火墙
        • NGFW的特点
        • NGFW的优势
    • 4.2 IPS
    • 4.2 负载均衡
        • 应用优化
    • 4.3 应用控制网关 流控产品
        • BON
      • 网络拓扑
    • 4.4 WAF
      • CC功能特性
      • 网络拓扑
    • 4.5 数据库审计系统
      • 网络拓扑
    • 4.6 异常流量清洗
      • 网络拓扑
    • 4.7 运维审计系统
      • 网络拓扑
    • 4.8 漏洞扫描设备
    • 4.9 安全隔离和信息交换
      • 网络拓扑
    • 4.10 SSM安全业务管理中心
    • 4.11 态势感知平台
  • 五、安全产品部署
    • 5.1 防护墙
      • 5.1.2 VPN
    • 5.2 IPS
    • 5.3 负载均衡
    • 5.4 WAF
    • 5.5 数据库审计
    • 5.6 异常流量清洗
    • 5.7 堡垒机
    • 5.8 安全隔离和信息交换
    • 5.9 全场景部署
        • 交换机和路由器
        • AC AP
        • 防火墙
        • IDS 日志审计系统 内容缓存 行为管理 VPN 堡垒机
    • 5.10 方案

一、网路安全大事件

1.1 震网病毒

有一个纪录片专门讲解这个事件零日

2010年,美国和以色列攻击伊朗核设施,开发了震网病毒,攻击目标是工业上使用的 可编程逻辑控制器PCL
通过U盘传播
对工业设备的精确打击
APT攻击:高级持续性威胁(Advanced Persistent Threat,APT),又叫高级长期威胁,是一种复杂的、持续的网络攻击。先感染U盘,再感染 工作电脑 再感染工业控制

1.2 海康威视弱口令

2014年,海康威视被爆出 弱口令
在这里插入图片描述
通过ssh telnet登录
在这里插入图片描述

1.3 物联网Mirai病毒

感染存在漏洞或内置有默认密码的IOT设备
网络摄像头、DVR、路由器等

1.4 专网 黑天安 事件

在这里插入图片描述

摄像头的安全问题

  • 弱口令
  • 替换摄像头为终端设备
  • 存在不必要的远程服务
  • 系统组件和应用程序漏洞

1.5 乌克兰停电

2015年 俄罗斯 黑入 乌的的变电站,导致停电
在这里插入图片描述

1.6 委内瑞拉电网

2019年 委内瑞拉 电网被攻击,全国停电!

1.7 棱镜门事件

直接进入 各大 网络公司的服务器,直接获取情报

1.8 熊猫烧香

自动传播、自动感染
会删除gho文件(Win的系统镜像)

二、法律法规解读

三、安全厂商介绍

在这里插入图片描述

四、安全产品

在这里插入图片描述
完全设备性能指标:
1.整机吞吐量:状态检测机制下,能处理一定包长数据的最大转发能力。(带宽/3 就是 最大的出口带宽)
2. 最大并发连接数:同时能容纳的最大的链接数目。一个连接就是一个TCP、UDP的访问(每台PC1000链接)
3. 每秒新建连接数:每秒可以通过安全产品建立起来的完成TCP、UDP链接。

4.1 防护墙

4.1.1 经典防护墙

防护墙:保护网络周边安全的关键设备,可以保护一个 信任 网络免受 非信任 网络的攻击,但同时还必须允许两个网络之家可以进行合法的(符合安全策略)的通信

基本功能:网络隔离和访问控制
就是ACL
在这里插入图片描述

VPN

VPN也是防护墙 有非常基础的功能
在这里插入图片描述

传统防火墙也有DPI深度检测功能,查看传输层、应用层的协议

4.1.2 NGFW下一代防火墙

NGFW的特点

  1. 多维度安全控制
    基本防火墙是ACL
    NGFW多因素考虑安全:时间识别、位置识别、ID识别、终端类型识别、业务识别、病毒识别

  2. 一体化的安全策略
    配置相对简单,对具体的应用,对没有固定端口的也可以拦截
    对不同用户 不同拦截策略

  3. 智能策略
    策略合规识别、策略冗余检测、策略匹配统计、风险分析联动、策略自动推荐

在这里插入图片描述

  1. 智能选路
    负载均衡、不同流量选择不同的ISP
    在这里插入图片描述
    一般 外网访问DFM的 不用防护墙做负载均衡、有专业的设备

NGFW的优势

  1. 基于用户名控制
    能够基于用户名控制,不同的用户配置不同的策略
    后续还可以根据用户名做log溯源
    用户接入系统EAD

  2. 可以做防火墙集群
    HA高可用、性能提升、主备也不用同步

4.2 IPS

IPS:入侵防御 IDS:入侵检测
现在都集成到一起了

防护墙:偏向于边界安全管理,进入到内网就管不了了
IPS:对内网的流量进行分析,内网对内网的攻击也可

IPS旁挂的核心交换机旁边,全网流量做镜像 往IPS扔一份,旁挂只检测不阻断
在这里插入图片描述

4.2 负载均衡

在这里插入图片描述

链路负载均衡:多条链路,电信 联通 移动 多条线
防火墙也有链路负载均衡的功能

全局负载均衡:用百度 在北京就会就近用北京的百度 server

应用优化

除了基本的负载均衡,还有应有优化的功能:
1.TCP链接复用
2.HTTP的压缩 解压缩(本来是服务器的工作)
3. HTTPS的SSL的卸载(本来是服务器的工作)

4.3 应用控制网关 流控产品

流控产品AppControlGateway
功能:

  1. VPN
  2. 内容缓存
  3. 行为审计

流控设备 vs 上网行为管理设备 的 区别:
4. 产品倾向不同。行为管理设备作为安全设备,倾向于管理和控制:比如上班时间就不能用qq。流控设备倾向于优化,比如:上班时间网盘速度限制,把带宽留给其他办公服务。
5. 规模和场景:行为管理中小型企业,流控用于大型网络居多。运营商用流控实现流量计费

BON

新一代ACG应用控制网关

  • 应用部署,直接在子网中下发应用
  • 业务运行,行为管理、流控保障
  • 业务可视,精细审计
    在这里插入图片描述

网络拓扑

在这里插入图片描述
在这里插入图片描述
出口可以用 ACG

4.4 WAF

专业应用层防火层设备:

  • Web应用防火墙
  • 视频安全网关(H3C)
  • 数据库审计

针对网页的攻击非常复杂,因此单独拿出来做了WAF

  • 确保网站业务可用性
  • 防范数据泄露/网页篡改
  • 优化业务资源(和前面类似)
    • TCP连接复用
    • HTTP解压缩
    • HTTPS的解密

为什么传统安全产品不能解决Web安全
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

CC功能特性

CC攻击:肉机攻击
多重检测算法
在这里插入图片描述
在这里插入图片描述
有问题的访问 会被添加浏览器访问验证(拼图算数等)

还可以做区域的划分:突然澳洲大量访问,那说明黑客控制了大量的澳洲肉机

网络拓扑

在这里插入图片描述
在DMZ区域前,或者直接在Web服务器前(DB只能由Web访问)

4.5 数据库审计系统

内容审计:上网行为管理
数据库审计:访问数据库操作等
运维设计:堡垒机/主机加固产品

数据库审计系统功能:

  1. 支持主流DB,全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源。
  2. 检测DB漏洞扫描,提供漏洞报告和解决方案。

在这里插入图片描述

强大的报表功能
在这里插入图片描述
直接根据等保等级匹配,给出改善建议

网络拓扑

在这里插入图片描述
也可以多个采集器

旁路 并联 部署

4.6 异常流量清洗

抗DDOS设备/抗D设备

网络拓扑

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

4.7 运维审计系统

堡垒机
功能 :单点登录、运维审计

在这里插入图片描述

网络拓扑

旁挂在核心交换机旁
在这里插入图片描述

4.8 漏洞扫描设备

黑客攻击就需要漏洞扫描

一般人就直接用漏洞扫描软件:nessus、流光、X-SCAN、SuperScan

黑客攻击的步骤:
1. 漏洞扫描(
	1.2. 主机扫描 :网段内有多少台活着的主机
	1.3 端口扫描:开了哪些端口 80 web的,
	1.4 针对开的端口,做漏洞的扫描
2. 针对扫描出来的漏洞进行攻击(OS、Web、DB、Adobe(Flash))
3. 攻击完成之后,黑客会创建后门(或者是user、pwd);或直接种木马,方便控制
4. 删log

Web漏洞扫描

  • 全面、深度扫描web应用
  • 模拟黑客做无害的攻击渗透
  • 木马检测
  • 灰盒检测(知道IP 端口等信息)
  • 全职支持web2.0 flash wap等,支持java scrip脚本

系统漏洞扫描

  • 支持OS漏洞、浏览器漏洞、Web应用系统

数据库漏洞扫描

  • 主流数据库的漏洞扫描

4.9 安全隔离和信息交换

俗称:网闸 GAP 哈哈哈

网闸和防火墙的区别:
1. 防火墙用于逻辑隔离 、网闸 物理 隔离
	1.1 逻辑隔离:策略配置好,可以ping通
	1.2 物理隔离:两个子网 底层网线 Switch Router 都是完全不能直接通信

在这里插入图片描述

网络拓扑

在这里插入图片描述

4.10 SSM安全业务管理中心

安全管理平台、可以作为日志审计系统

在这里插入图片描述
后面逐渐被态势感知取代

能收集log的设备:

  • SSM安全管理
  • 日志审计系统
  • 行为管理和审计
  • 安全态势感知

在这里插入图片描述
日志审计系统的log可以做的分析:

  1. 异常行为检测
  2. 用户行为分析
  3. 安全事件关联分析
  4. 攻击源分析
  5. 安全趋势分析
  6. 合规性分析
  7. 取证分析
在 Linux 下查询日志的源头可以通过以下步骤进行:

确认日志文件的路径:首先需要确定你要查询的日志文件的路径。通常,日志文件位于 /var/log/ 目录下,不同的日志有不同的文件名,比如 syslog、auth.log、messages 等。

查看日志文件:使用命令行工具如 cat、less 或 tail 可以查看日志文件的内容。例如,运行 cat /var/log/syslog 将显示 syslog 的完整内容。

搜索关键字:使用 grep 命令搜索你感兴趣的关键字,以便定位到日志中涉及的相关信息。例如,运行 grep "error" /var/log/syslog 可以搜索包含 "error" 关键字的日志条目。

分析日志:根据日志条目中的相关信息,如时间戳、进程ID等,尝试确定日志的源头。你可以检查日志中的特定线索或错误消息,以确定是哪个终端或哪个进程生成了该日志。

进一步追踪:根据找到的源头信息,你可以进一步追踪和调查问题。例如,查看相关进程的日志、配置文件或其他相关系统日志,以获取更多关于问题的线索。

值得注意的是,具体的查询方法可能会因日志类型、系统配置和应用程序的不同而有所差异。在实际操作过程中,你还可以使用其他命令和工具来帮助定位和分析日志,如 journalctl、dmesg 等。

4.11 态势感知平台

整合了ABC
在这里插入图片描述

  • 事态可评估
  • 趋势可预测
  • 风险可感应
  • 知性可管控

核心技术:log分析、流量分析

在这里插入图片描述

五、安全产品部署

5.1 防护墙

在这里插入图片描述

5.1.2 VPN

在这里插入图片描述

5.2 IPS

并联 与 核心交换机 和 Router之间
在这里插入图片描述

5.3 负载均衡

在这里插入图片描述

5.4 WAF

在这里插入图片描述

5.5 数据库审计

在这里插入图片描述

5.6 异常流量清洗

在这里插入图片描述

5.7 堡垒机

在这里插入图片描述

5.8 安全隔离和信息交换

在这里插入图片描述

5.9 全场景部署

交换机和路由器

在这里插入图片描述
内部局域网有:核心交换机、汇聚层交换机、接入交换机
出口(NAT):路由器、直接防火墙(小型网络)、上网行为管理(小型网络)

AC AP

在这里插入图片描述
AC 和 认证系统,都旁挂在核心交换机旁

防火墙

在这里插入图片描述

Internet---> Router ---> FireWall

在Web服务的DMZ区域前要单独部署WAF

核心交换机上可以插防火墙板卡,实现各个内网区域的隔离(办公楼和宿舍楼之间要过FW板卡)

IDS 日志审计系统 内容缓存 行为管理 VPN 堡垒机

都直接旁挂在核心交换机旁

5.10 方案

总结

旁挂的:IPS、堡垒机、数据库审计、日志审计、漏洞扫描、服务器负载均衡、VPN
串行的:FW、行为审计、链路负载均衡、WAF

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/61251.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

C语言基础知识点一

C语言基础知识点一&#xff1a; 1.数据类型 2.bool类型&#xff1a; 使用bool时时&#xff0c;需要增加<stdbool.h>头文件。 说明&#xff1a;bool 类型只有非零&#xff08;true&#xff09;和零&#xff08;false&#xff09;两种值。 如: if&#xff08;-1&#xf…

【供电并接电路】2021-12-31

缘由在实际应用中mos管的导通问题 - 电路设计论坛 - 电子技术论坛 - 广受欢迎的专业电子论坛!MOS管实际应用中的开通问题-硬件开发-CSDN问答 设计的思想是&#xff0c;当CH_5.2V有5.2V电压时&#xff0c;Q7导通&#xff0c;Q6产生UGS​压差&#xff0c;从而使Q6导通&#xff0c…

SpringBoot+AOP+Redission实战分布式锁

文章目录 前言一、Redission是什么&#xff1f;二、使用场景三、代码实战1.项目结构2.类图3.maven依赖4.yml5.config6.annotation7.aop8.model9.service 四、单元测试总结 前言 在集群环境下非单体应用存在的问题&#xff1a;JVM锁只能控制本地资源的访问&#xff0c;无法控制…

Python中的PDF文本提取:使用fitz和wxPython库(带进度条)

引言&#xff1a; 处理大量PDF文档的文本提取任务可能是一项繁琐的工作。本文将介绍一个使用Python编写的工具&#xff0c;可通过简单的操作一键提取大量PDF文档中的文本内容&#xff0c;极大地提高工作效率。 import wx import pathlib import fitzclass PDFExtractor(wx.Fr…

2.运行Python

在完成上一篇的环境安装后,本篇文章我们运行python及简单的命令使用 在安装之后我们可以在最近安装的程序中点击快捷方式启动python 第一种方式 python自带的开发环境 双击安装好后的应用程序 第二种方式 命令行 将print(“hello word”) 写入到文件,文件后缀名以.py结…

Windows环境下VSCode安装PlatformIO Cero报错ERROR: HTTP error 403 while getting

安装PlatformIO插件成功&#xff0c;初始化失败 错误信息判断问题尝试访问https://pypi.tuna.tsinghua.edu.cn/simple/platformio/成功点击文件后报错如下&#xff1a; 解决问题- 换源 &#xff08; Windows下有两个地方需要更改&#xff09;cmd命令行Pip文件 总结&#xff1a;…

Android Gradle 骚操作,将两个项目合并到一个项目中

1. 前言 在工作中&#xff0c;由于各种原因&#xff0c;导致需要将两个可单独运行的App项目&#xff0c;合并到一个git仓库里&#xff0c;且单独的App项目里还有其他Module模块。 如果只是将两个项目复制到同一个文件夹下&#xff0c;还是得单独打开各个项目&#xff0c;是很不…

python自动化运维常用模块,python自动化运维项目

大家好&#xff0c;本文将围绕python自动化运维需要掌握的技能展开说明&#xff0c;python自动化运维快速入门 pdf是一个很多人都想弄明白的事情&#xff0c;想搞清楚python自动化运维常用模块需要先了解以下几个事情。 这篇文章主要介绍了一个有趣的事情&#xff0c;具有一定借…

b 树和 b+树的理解

项目场景&#xff1a; 图灵奖获得者&#xff08;Niklaus Wirth &#xff09;说过&#xff1a; 程序 数据结构 算法&#xff0c; 也就说我们无时无刻 都在和数据结构打交道。 只是作为 Java 开发&#xff0c;由于技术体系的成熟度较高&#xff0c;使得大部分人认为&#xff1…

英特尔傲腾CAS报错unknown error cache acceleration software could not start cache

英特尔傲腾CAS报错unknown error cache acceleration software could not start cache 文章目录 英特尔傲腾CAS报错unknown error cache acceleration software could not start cache我是怎么遇到这个问题的我是如何解决的实验步骤打Primo Cache蓝屏补丁拔掉原来的系统盘开关机…

WSL2安装CentOS7和CentOS8

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、下载ZIP包&#xff1f;二、安装1.打开Windows子系统支持2.安装到指定位置3.管理虚拟机4.配置虚拟机1.配置国内源2.安装软件3.安装第三方源 5.配置用户1.创建…

嵌入式开发学习(STC51-12-I2C/IIC)

内容 在数码管右3位显示数字&#xff0c;从0开始&#xff0c;按K1键将数据写入到EEPROM内保存&#xff0c;按K2键读取EEPROM内保存的数据&#xff0c;按K3键显示数据加1&#xff0c;按K4键显示数据清零&#xff0c;最大能写入的数据是255&#xff1b; I2C介绍 I2C简介 I2C&…

windows下的txt文档,传到ubuntu后,每行后面出现^M,怎么处理?

问题背景&#xff1a;windows下pycharm生成的txt文档&#xff0c;传到ubuntu后&#xff0c;每行后面出现^M 用vim打开显示 使用cat -A filename显示如下 参考https://www.lmlphp.com/user/16697/article/item/579325/给出的几种方法 方法一、dos2unix filename。服务器没装…

esp32c3 xiao 脚本记录

oled显示网络时间, wifi链接网络 // ntp_get_date.h #include "time.h"String week[8] {"Sun", "Mon", "Tues", "Wednes", "Thur", "Fri", "Sat" };void printLocalTime(Adafruit_SSD1306 …

网页版Java(Spring/Spring Boot/Spring MVC)五子棋项目(二)前后端实现用户的登录和注册功能【用户模块】

网页版Java五子棋项目&#xff08;二&#xff09;前后端实现用户的登录和注册功能【用户模块】 在用户模块我们要清楚要完成的任务一、MyBatis后端操作数据库1. 需要在数据库创建用户数据库1. 用户id2. 用户名3. 密码4. 天梯积分5. 总场数6. 获胜场数 2. 创建用户类User和数据库…

vue2-vue项目中你是如何解决跨域的?

1、跨域是什么&#xff1f; 跨域本质是浏览器基于同源策略的一种安全手段。 同源策略&#xff08;sameoriginpolicy&#xff09;&#xff0c;是一种约定&#xff0c;它是浏览器最核心也是最基本的安全功能。 所谓同源&#xff08;即指在同一个域&#xff09;具有以下三个相同点…

【分布式系统】聊聊服务调度

什么是服务治理 对于程序员来说的话&#xff0c;把功能按照一定的设计进行开发上线之后&#xff0c;其实并不够&#xff0c;在未来的时间内&#xff0c;其实还需要做好功能的维护工作&#xff0c;而维护项目的成本远远高于开发出一个软件的成本。 对于功能开发起来期来说&am…

2021-03-03 Multisim 14.0 电池充电防止反接保护

R2R3当作充电线电阻看,也可设置这2个电阻导线电阻,电阻取值依据充电电流范围确定,由于电池存在电压因此可以用光耦检测,发光二极管当作继电器看,可采用继电器自锁,当下次再次反接的话另一个继电器同样,2个继电器相互控制.本电路可验证极性变化时2路检测的变化,图中S1为模拟电池…

聊聊混合动力汽车和纯电骑车的优势和劣势

混合动力汽车和纯电动骑车是两种不同的交通工具&#xff0c;它们都有各自的优势和劣势。本文将分别探讨混合动力汽车和纯电动骑车的优势和劣势&#xff0c;并为文章提供三个备选的好听的标题。 混合动力汽车是一种结合了内燃机和电动机的汽车&#xff0c;它可以同时利用燃油和电…